CISA ออกมาแจ้งเตือนว่า ขณะนี้แฮ็กเกอร์กำลังพยายามใช้การโจมตีจากช่องโหว่ที่มีความรุนแรงระดับสูงบน SolarWinds Serv-U ที่เพิ่งได้รับการแก้ไขไปเมื่อเร็ว ๆ นี้ เพื่อทำให้เซิร์ฟเวอร์หยุดการทำงาน
Serv-U เป็นซอฟต์แวร์สำหรับการถ่ายโอนไฟล์ข้อมูลบนระบบ Windows และ Linux ของบริษัท ซึ่งมีความสามารถในการ Managed File Transfer (MFT) และทำหน้าที่เป็นเซิร์ฟเวอร์ FTP ที่ช่วยให้ผู้ใช้สามารถแลกเปลี่ยนไฟล์ได้อย่างปลอดภัยผ่านโปรโตคอล HTTP/HTTPS, FTP, FTPS และ SFTP
SolarWinds ได้ออกอัปเดต Serv-U 15.5.4 Hotfix 1 เมื่อวันพฤหัสบดีที่ผ่านมา เพื่อแก้ไขช่องโหว่ประเภท Denial-of-Service โดยมีหมายเลข CVE-2026-28318 และระบุว่าช่องโหว่ดังกล่าวมีสาเหตุมาจาก uncontrolled resource consumption
SolarWinds ระบุว่า "ช่องโหว่บน SolarWinds Serv-U มีความเสี่ยงต่อ POST requests ที่ถูกสร้างขึ้นมาเป็นพิเศษ ซึ่งสามารถทำให้บริการ Serv-U หยุดการทำงานได้โดยไม่ต้องมีการยืนยันตัวตนโดยใช้ Content-Encoding: deflate"
ผู้โจมตีจากภายนอก สามารถใช้การโจมตีจากช่องโหว่ด้านความปลอดภัยนี้ได้โดยไม่จำเป็นต้องมีสิทธิ์พิเศษใด ๆ ผ่านการโจมตีที่มีความซับซ้อนต่ำ และไม่ต้องอาศัยการโต้ตอบจากผู้ใช้
นอกจากนี้ SolarWinds ยังแนะนำให้ผู้ดูแลระบบที่ไม่สามารถติดตั้งแพตช์อัปเดตได้ในทันที ให้ทำการจำกัดการเข้าถึงให้อยู่ในเฉพาะ IP addresses ที่รู้จัก และบล็อก POST request ใด ๆ ที่มี "content-encoding" เนื่องจากบริการ Serv-U ที่มีช่องโหว่นี้ไม่จำเป็นต้องใช้ฟังก์ชันดังกล่าว
Shodan แพลตฟอร์ม Internet intelligence กำลังติดตามเซิร์ฟเวอร์ Serv-U กว่า 12,000 เครื่องที่เปิดให้เข้าถึงผ่านทางออนไลน์ในขณะนี้ และ Shadowserver ซึ่งเป็นหน่วยงานเฝ้าระวังด้านความปลอดภัยทางอินเทอร์เน็ตตรวจพบอยู่ที่ 3,100 กว่าเครื่อง แต่ยังไม่มีข้อมูลว่ามีเซิร์ฟเวอร์ที่ได้รับการแพตช์แก้ไขไปแล้วจำนวนเท่าใด
ไม่กี่วันหลังจากที่ SolarWinds ได้ออกอัปเดตเพื่อแก้ไขช่องโหว่ดังกล่าว ทาง CISA ได้ขึ้นสถานะแจ้งเตือนว่าช่องโหว่ดังกล่าวกำลังถูกนำไปใช้ในการโจมตีจริง และได้เพิ่มเข้าไปใน KEV Catalog พร้อมสั่งการให้หน่วยงานฝ่ายบริหารพลเรือนของรัฐบาลกลางทุกแห่งดำเนินการอัปเดตแพตช์เซิร์ฟเวอร์ของตน เพื่อป้องกันการโจมตีที่กำลังดำเนินอยู่ภายในวันที่ 19 มิถุนายน ตามข้อบังคับใช้ Binding Operational Directive - BOD 22-01
แม้ว่า BOD 22-01 จะมีผลบังคับใช้เฉพาะกับหน่วยงานรัฐบาลของสหรัฐฯ แต่ทาง CISA ก็ยังเรียกร้องให้ผู้ดูแลด้านความปลอดภัยเครือข่ายทั้งหมด ซึ่งรวมถึงภาคเอกชน ให้เร่งรักษาความปลอดภัยเครือข่ายของตนจากการโจมตี CVE-2026-28318 ที่กำลังดำเนินอยู่ให้เร็วที่สุดเท่าที่จะเป็นไปได้
CISA เตือนว่า "ช่องโหว่ประเภทนี้มักเป็นช่องทางที่ผู้ไม่หวังดีทางไซเบอร์นำมาใช้โจมตีอยู่บ่อยครั้ง และก่อให้เกิดความเสี่ยงอย่างมีนัยสำคัญต่อองค์กรของรัฐ โปรดปรับใช้มาตรการลดผลกระทบตามคำแนะนำของผู้ให้บริการ ปฏิบัติตามหลักเกณฑ์ BOD 22-01 ที่เกี่ยวข้องสำหรับ cloud services หรือยุติการใช้งานผลิตภัณฑ์หากไม่มีมาตรการลดผลกระทบให้ใช้งาน"
ในช่วงไม่กี่ปีที่ผ่านมา กลุ่มอาชญากรทางไซเบอร์ และกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐหลายกลุ่มได้มุ่งเป้าไปที่ช่องโหว่ต่าง ๆ ใน Serv-U เพื่อขโมยข้อมูลที่มีความสำคัญขององค์กร และลูกค้า
ตัวอย่างเช่น กลุ่มแรนซัมแวร์ Clop ได้ใช้การโจมตีจากช่องโหว่ Remote Code Execution บน Serv-U (CVE-2021-35211) เพื่อเจาะเข้าสู่เครือข่ายขององค์กรในแคมเปญการโจมตีเมื่อปี 2021 นอกจากนี้ กลุ่มแฮ็กเกอร์ชาวจีน DEV-0322 ก็ได้นำช่องโหว่ CVE-2021-35211 ไปใช้ในการโจมตีแบบ Zero-day ซึ่งเริ่มต้นขึ้นในเดือนกรกฎาคม 2021 เช่นกัน
เมื่อเร็ว ๆ นี้ ในเดือนมิถุนายน 2024 บริษัทด้านความปลอดภัยทางไซเบอร์อย่าง GreyNoise และ Rapid7 ได้ระบุว่าช่องโหว่ Path-traversal ของ Serv-U (CVE-2024-28995) กำลังถูกนำไปใช้ในการโจมตีจริง
ในช่วงหลายปีที่ผ่านมา CISA ได้ขึ้นสถานะแจ้งเตือนช่องโหว่ถึง 11 รายการในผลิตภัณฑ์ต่าง ๆ ของ SolarWinds ว่ากำลังถูกนำไปใช้ในการโจมตีจริง ซึ่งหนึ่งในช่องโหว่เหล่านั้นถูกกลุ่มแรนซัมแวร์นำไปใช้ด้วยเช่นกัน
ที่มา : Bleepingcomputer